Para peneliti yang menemukan cacat besar pada basis data utama yang disimpan di platform cloud Azure Microsoft Corp pada hari Sabtu mendesak semua pengguna untuk mengubah kunci akses digital mereka, bukan hanya 3.300 yang diberitahukan minggu ini.
Para peneliti di perusahaan keamanan cloud bernama Wiz menemukan bulan ini bahwa mereka dapat memperoleh akses ke kunci digital utama untuk sebagian besar pengguna sistem database Cosmos DB, yang memungkinkan mereka untuk mencuri, mengubah, atau menghapus jutaan catatan.
Diperingatkan oleh Wiz, Microsoft dengan cepat memperbaiki kesalahan konfigurasi yang akan memudahkan setiap pengguna Cosmos untuk masuk ke basis data pelanggan lain, kemudian memberi tahu beberapa pengguna pada hari Kamis untuk mengubah kunci mereka.
Dalam sebuah blog posting Jumat, Microsoft mengatakan itu memperingatkan pelanggan yang telah mengatur akses Cosmos selama periode penelitian selama seminggu. Tidak ditemukan bukti bahwa penyerang telah menggunakan kelemahan yang sama untuk masuk ke data pelanggan, katanya.
“Penyelidikan kami menunjukkan tidak ada akses tidak sah selain aktivitas peneliti,”tulis Microsoft.”Pemberitahuan telah dikirim ke semua pelanggan yang berpotensi terpengaruh karena aktivitas peneliti,”katanya, mungkin merujuk pada kemungkinan bahwa teknik tersebut bocor dari Wiz.
“Meskipun tidak ada data pelanggan yang diakses, Anda disarankan untuk membuat ulang kunci baca-tulis utama Anda,”katanya.
Badan Keamanan Cybersecurity dan Infrastruktur Departemen Keamanan Dalam Negeri AS menggunakan bahasa yang lebih kuat dalam sebuah buletin pada hari Jumat, memperjelas bahwa itu tidak hanya berbicara kepada yang diberitahukan.
“CISA sangat mendorong pelanggan Azure Cosmos DB untuk memutar dan membuat ulang kunci sertifikat mereka,”kata agensi tersebut.
Para ahli di Wiz, yang didirikan oleh empat veteran in-Azure tim keamanan rumah, setuju.
“Menurut perkiraan saya, sangat sulit bagi mereka, jika bukan tidak mungkin, untuk sepenuhnya mengesampingkan bahwa seseorang menggunakan ini sebelumnya,”kata salah satu dari empat, Chief Technology Officer Wiz Ami Luttwak. Di Microsoft, ia mengembangkan alat untuk mencatat insiden keamanan cloud.
Microsoft tidak memberikan jawaban langsung ketika ditanya apakah memiliki log yang komprehensif selama dua tahun ketika fitur Notebook Jupyter salah dikonfigurasi, atau telah menggunakan cara lain untuk mengesampingkan penyalahgunaan akses.
“Kami memperluas pencarian kami di luar aktivitas peneliti untuk mencari semua aktivitas yang mungkin untuk peristiwa saat ini dan yang serupa di masa lalu,”kata juru bicara Ross Richendrfer, menolak menjawab pertanyaan lain.
Wiz mengatakan Microsoft telah bekerja sama dengannya dalam penelitian tetapi menolak untuk mengatakan bagaimana memastikan pelanggan sebelumnya aman.
“Ini menakutkan. Saya sangat berharap daripada siapa pun selain kami menemukan bug ini,”kata salah satu peneliti utama pada proyek di Wiz, Sagi Tzadik.
FacebookTwitterLinkedin
